Pour gérer vos consentements :

Google vient de franchir une étape supplémentaire dans la sécurisation de ses services. L’équipe de sécurité de la firme de Mountain View a annoncé la semaine dernière avoir finalisé la mise en œuvre de HSTS sur l’ensemble des services fonctionnant sur le domaine Google.com.

HSTS (HTTP Strict Transport Security) est un système qui renforce la sécurité des communications entre l’internaute et les serveurs web. Il permet de s’assurer que la connexion est sécurisée. Si le certificat de chiffrement n’est pas correct, la connexion au site ne sera pas possible. De plus, le mélange de contenus sécurisés et en clair au sein d’une même page web n’est pas permis par le HSTS. Un moyen pour les webmasters et les utilisateurs d’être protégés contre les attaques de l’homme du milieu (MiTM), les dégradations de HTTPS et les détournements de cookies.

Des tests longs et parfois risqués

Dans un blog, l’équipe de sécurité précise que cette implémentation n’a pas été aussi simple que cela. Et ce « en raison de la complexité particulière de Google, nous avons eu besoin d’un peu plus de temps que d’autres domaines. Par exemple, nous avons dû résoudre le problème de contenu mixte, des mauvais HREF, des redirections vers HTTP, et d’autres difficultés comme actualiser des services anciens qui pouvaient poser des problèmes aux utilisateurs tandis qu’ils essayaient d’accéder à notre domaine principal », souligne Jay Brown, directeur technique du programme. Des tests qui ont eu un impact sur l’application Santa Tracker (pour suivre le Père Noël), car elle a été inactive pendant quelques temps avec l’intégration de HSTS.

Cette mise en œuvre reste néanmoins pour l’instant un coup d’épée dans l’eau. En effet, une étude menée par Netcraft en mars 2016 montre que 95% des serveurs utilisant HTTPS n’intègrent pas HSTS ou le font avec des erreurs de configurations.

A lire aussi :

Microsoft renforce l’utilisation du HTTPS au sein d’Internet Explorer
SMTP STS : Google, Microsoft et Yahoo musclent le chiffrement des mails

Recent Posts

Pour son premier LLM codeur ouvert, Mistral AI choisit une architecture alternative

Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…

14 heures ago

Microsoft x Inflection AI : l’autorité de la concurrence britannique lance son enquête

L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…

17 heures ago

Thomas Gourand, nouveau Directeur Général de Snowflake en France

Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…

19 heures ago

Accord Microsoft-CISPE : comment Google a tenté la dissuasion

Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…

19 heures ago

Vers des mises à jour cumulatives intermédiaires pour Windows

Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…

19 heures ago

RH, finances, stratégie… Les complexités de la Dinum

De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…

2 jours ago